El error de día cero en todas las versiones de Windows recibe un parche no oficial gratuito

Ahora hay disponible un parche no oficial gratuito para una vulnerabilidad de escalada de privilegios locales de día cero en el Servicio de perfiles de usuario de Windows que permite a los atacantes obtener privilegios del SISTEMA en determinadas condiciones.

El error, registrado como CVE-2021-34484, fue corregido de forma incompleta por Microsoft durante el martes de parches de agosto. La compañía solo abordó el impacto de la prueba de concepto (PoC) proporcionada por el investigador de seguridad Abdelhamid Naceri, quien informó el problema.

Más tarde, Naceri descubrió que los actores de amenazas aún pueden omitir el parche de Microsoft para elevar los privilegios para obtener privilegios del SISTEMA si se cumplen ciertas condiciones, lo que da como resultado un símbolo del sistema elevado mientras el símbolo del sistema de control de cuentas de usuario (UAC).

Analista de vulnerabilidades CERT / CC Will Dormann probado el CVE-2021-34484 omitiendo el exploit PoC y descubrí que aunque funcionaba, no siempre creaba el símbolo del sistema con privilegios elevados. Sin embargo, en las pruebas de BleepingComputer, inmediatamente lanzó un símbolo del sistema elevado, como se muestra a continuación.

Afortunadamente, el exploit requiere que los atacantes conozcan e inicien sesión con las credenciales de otros usuarios para explotar la vulnerabilidad, lo que significa que probablemente no se abusará tanto como otros errores de LPE (incluido PrintNightmare).

La mala noticia es que afecta a los dispositivos completamente actualizados que ejecutan todas las versiones de Windows, incluidos Windows 10, Windows 11 y Windows Server 2022.

Además, el investigador le dijo a BleepingComputer que los actores de amenazas solo necesitarán otra cuenta de dominio para implementar exploits en ataques, por lo que definitivamente es algo de lo que los administradores deberían preocuparse.

Después del informe de BleepingComputer sobre la omisión de CVE-2021-34484, Microsoft nos dijo que están al tanto del problema y "tomarán las medidas adecuadas para proteger a los clientes".

Parche gratuito disponible hasta que Microsoft corrija el error

Si bien Microsoft todavía está trabajando en una actualización de seguridad para corregir esta falla de día cero, el servicio de microparches 0patch ha un parche no oficial gratuito lanzado el jueves (conocido como microparche).

0patch desarrolló el microparche utilizando la información que Naceri proporcionó en su artículo y PoC para Windows User Profile Service 0day LPE.

Puede aplicar este parche gratuito para bloquear ataques utilizando el desvío CVE-2021-34484 en las siguientes versiones de Windows:

1. Windows 10 v21H1 (32 y 64 bits) actualizado con las actualizaciones de octubre o noviembre de 2021
2. Windows 10 v20H2 (32 y 64 bits) actualizado con actualizaciones de octubre o noviembre de 2021
3. Windows 10 v2004 (32 y 64 bits) actualizado con actualizaciones de octubre o noviembre de 2021
4. Windows 10 v1909 (32 y 64 bits) actualizado con actualizaciones de octubre o noviembre de 2021
5. Windows Server 2019 de 64 bits actualizado con actualizaciones de octubre o noviembre de 2021

"Si bien esta vulnerabilidad ya tiene su ID de CVE (CVE-2021-33742), estamos considerando que carece de una corrección oficial del proveedor y, por lo tanto, un día 0", explicó el cofundador de 0patch, Mitja Kolsek. "Los microparches para esta vulnerabilidad serán gratuitos hasta que Microsoft publique una solución oficial".

Para instalar este parche no oficial en su sistema, primero deberá registrar una cuenta de 0patch y luego instalar el agente de 0patch.

Una vez que se inicia el agente, el microparche se aplica automáticamente (si no hay una política de la empresa de parches personalizados que lo bloquee), sin la necesidad de reiniciar el dispositivo.

Aunque este problema en teoría también afecta a las versiones anteriores de Windows, Kolsek dijo que "el código vulnerable es diferente allí, lo que hace que la ventana de condición de carrera sea extremadamente ajustada y probablemente inutilizable".

A continuación se incluye un video de demostración del microparche CVE-2021-33742 en acción.